米国でハッキングされた中国製ロボット掃除機が人種差別的な罵声を浴びせる事件が発生し、製造元が調査に乗り出した。米メディアABCやニューヨーク・ポストによると、中国製の「エコバックス・ディーボット X2s(Ecovacs Deebot X2s)」ロボット掃除機で、昨年5月頃にこのような現象が見られた。
ミネソタ州の弁護士ダニエル・スウェンソンは昨年5月、テレビを見ていた際、ロボット掃除機からラジオ信号のような不可解な音が聞こえたという。掃除機アプリを確認すると、搭載カメラのリアルタイム映像とリモート操作機能に異常が生じていることも判明した。当初、機械的な不具合だと考えたスウェンソンは、パスワードを再設定し掃除機を再起動した。
しかし、その後さらに恐ろしい事態が続いた。ワイヤレス掃除機が動き出し、マイク機能を通じて人種差別的な悪口を浴びせ始めたのだ。ハッキングを疑ったスウェンソンは即座に電源を切った。彼は「まるで10代の青少年が悪いことを言っているような印象だった」と述べ、「(ハッカーは)単に我々を困らせるために複数のデバイスを渡り歩いてハッキングしたのかもしれない」と語った。
ロボット掃除機は浴室のある階に設置されていたという。「子どもたちや私が裸でいるところを見られていたかもしれない」とスウェンソンは懸念を示し、「むしろハッカーが自らの存在を明かしてくれて幸いだった。(カメラで)密かに家族を監視されていたら、状況はさらに恐ろしいものになっていただろう」と語った。彼はロボット掃除機を捨てるように車庫に移動させ、二度と電源を入れなかった。
同時期、同モデルで類似の事象が相次いで発生した。同日、カリフォルニア州ロサンゼルスでは、このモデルが誤作動を起こし犬を追いかけ回す事件が起きた。5日後にはテキサス州エルパソで、スウェンソンの事例と同様に、このモデルが所有者に向けて人種差別的な罵声を浴びせた。この会社の機器が合計何台ハッキングされたかは明らかになっていない。
調査の結果、ハッカーが製造元のセキュリティ対策を回避し、カメラ、マイク、移動制御機能をハッキングしたことが判明した。製造元がセキュリティ調査を実施した結果、ユーザーのアカウントとパスワードが不正利用され、こうした事態が発生したことが確認された。製造元の技術チームは犯人のIPアドレスを特定し、アカウントへの追加アクセスを遮断したという。特に脆弱性が高かったのは4桁のPINコードだったことが判明した。
製造元は「第三者が顧客のアカウントにアクセスするため、同一のIPアドレスから複数回ログインを試みたことが確認された」と述べる一方、「当社のシステムの問題によりユーザーアカウントが不正利用された証拠は見つからなかった」と説明した。製造元は当該モデルに対し、今年11月にセキュリティアップグレードを提供する予定だという。
セキュリティ専門家の間では、この製造元のセキュリティ脆弱性について以前から指摘があった。昨年8月に米国ラスベガスで開催された「DEF CONハッキングカンファレンス」で、セキュリティ研究者らがエコバックス製品を分析した結果、Bluetoothを利用したロボットのハッキングや、遠隔でマイクとカメラを密かに起動できる可能性が指摘された。特に約130m離れた場所からBluetoothを使用してロボットをハッキングし、リモートで機器を制御できることが明らかになった。